Dokumentmallar

Personuppgiftsbiträdesavtal, mall (PUB-avtal)

I ett personuppgiftsbiträdesavtal, även kallat PUB-avtal, kommer den personuppgiftsansvarige och personuppgiftsbiträdet överens om hur personuppgiftsbiträdet ska behandla personuppgifter överlåtna av den personuppgiftsansvarige. Läs mer

Vad är ett personuppgiftsbiträdesavtal?

PUB-avtal. I ett personuppgiftsbiträdesavtal bestämmer den personuppgiftsansvarige och personuppgiftsbiträdet tillsammans hur personuppgiftsbiträdet ska behandla personuppgifter överlämnade av den personuppgiftsansvarige. Syftet med avtalet är att reglera dataskydd mellan avtalsparterna, dvs. hur personuppgifter hanteras. Avtalet har många olika benämningar och kan också kallas bland annat:

  • PUB-avtal,
  • GDPR-avtal, eller
  • DPA (Data Processing Agreement).

Ett personuppgiftsbiträdesavtal (PUB-avtal) upprättas för att uppfylla vissa av de krav som fastsälls i GDPR (General Data Protection Regulation).

Vad är personuppgifter?

Uppgifter om privatpersoner.

Personuppgifter är all information som direkt eller indirekt kan identifiera en privatperson. När man pratar om personuppgifter kan det exempelvis röra sig om namn, personnummer, adressuppgifter och onlineidentifikatorer såsom IP-adress. De personuppgiftskategorier som behandlas måste definieras i ett personuppgiftsbiträdesavtal när ett sådant upprättas.

När behöver man upprätta ett personuppgiftsbiträdesavtal?

När ett företag behandlar personuppgifter tillhandahållna från ett annat företag måste dessa parter upprätta ett skriftligt avtal om behandlingen av personuppgifterna.

  • Leverantörsrelationer: En sådan situation föreligger vanligtvis när ett företag överför sina kunders eller anställdas personuppgifter till sina underleverantörer, här bör man se till att ha ett PUB-avtal på plats.

Skärpta dataskyddskrav

Skyldigheten att upprätta ett personuppgiftsbiträdesavtal grundar sig på EU:s allmänna dataskyddsförordning, GDPR, som trädde i kraft i maj 2018 och avsevärt skärpte dataskyddskraven för företag. Nya regleringar om höga böter och andra sanktioner som integrationsskyddsmyndigheten (IMY) enligt förordningen kan utdela vid överträdelser, har väckt stor uppmärksamhet. Det går inte att avtala bort personuppgiftsansvaret och avtalet ska upprättas skriftligen.

Vad bör ett personuppgiftsbiträdesavtal innehålla?

Omfattande innehåll

Lagstiftningen innehåller omfattande krav på vad som ska finnas med i ett personuppgiftsbiträdesavtal. Avtalet skall bland annat definiera

  • föremålet och varaktigheten för behandlingen av personuppgifter,
  • typ av behandling och ändamål,
  • typ av personuppgifter och kategorier av registrerade, samt
  • den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter

Skapa personuppgiftsbiträdesavtal i Docues plattform

Var noggrann med avtalsinnehållet

Med Docues plattform skapar användaren enkelt ett personuppgiftsbiträdesavtal och väljer snabbt bland juridiska klausuler och innehåll. Exempel på klausuler är:

  • Parternas rättigheter och skyldigheter
  • Användning av underbiträden vid behandlingen av personuppgifterna
  • Geografisk plats för behandling av personuppgifterna
  • Revision
  • Sekretess
  • Syftet med behandlingen av personuppgifter
  • Vilka personuppgifter som ska behandlas
  • Informationssäkerhet
  • Avtalets giltighetstid och varaktigheten för behandlingen av personuppgifter
  • Ansvarsbegränsningar och andra ansvarsfrågor

Som användare kan du fritt lägga till färdigt innehåll i ditt personuppgiftsbiträdesavtal och modifiera våra modellklausuler, om du så önskar.

Vad är skillnaden mellan den personuppgiftsansvarige och personuppgiftsbiträdet?

Ändamål och behandling: Det är viktigt att klargöra skillnaden mellan den personuppgiftsansvarige och personuppgiftsbiträdet i ett personuppgiftsbiträdesavtal.

  • Den personuppgiftsansvarige är den part som bestämmer ändamål och metod för behandlingen av personuppgifter.
  • Personuppgiftsbiträdet är den part som, för den personuppgiftsansvariges räkning, behandlar de personuppgifter som överlämnats av den ansvarige. Personuppgiftsbiträdet får endast behandla de aktuella personuppgifterna i enlighet med de instruktioner som den personuppgiftsansvarige har satt upp. Ett typiskt personuppgiftsbiträde kan exempelvis vara en revisor som behandlar uppgifter om exempelvis lön åt ett annat företag.

Ansvarsfördelning: I praktiken utför biträdet ett arbete åt den personuppgiftsansvarige och får inte ha någon avtalsenlig befogenhet att fastställa villkoren för behandlingen av personuppgifter. Om personuppgiftsbiträdet har handlat i enlighet med ett lämpligt personuppgiftsbiträdesavtal åläggs denne ett mindre ansvar för felaktig behandling av personuppgifter än den personuppgiftsansvarige.

Varför ska jag använda mig av Docue för mitt personuppgiftsbiträdesavtal?

Docue är en digital plattform för avtal och juridiska dokument som tagits fram av jurister och programmerare i samarbete. Docue gör juridiken enkel även för den som saknar förkunskaper. Välj ditt avtal, klicka i ditt önskade innehåll och låt vår plattform skriva klausulerna åt dig. När ditt personuppgiftsbiträdesavtal är klart e-signeras det enkelt och sparas sedan i plattformens digitala arkiv. Läs gärna våra kundomdömen här.


Tags: personuppgiftsbiträdesavtal, pub-avtal, personuppgiftsbiträdesavtal mall, dpa avtal

Docue ger dig tillgång till 150+ smarta dokumentmallar utformade av erfarna svenska jurister. Över 100 000 företag har redan förlitat sig på vår plattform.

"Docue har utmärkta mallar på både svenska och engelska, bättre än andra tjänster vi provat. De har ett robust system för att fylla i dem enligt mall men också ett flexibelt system för att köra över mallen när det behövs."

Sebastian Lundgren

VD, Winning Impact AB

"Det som gör att Docue särskiljer sig från andra alternativ är att de erbjuder hela paketet som en startup behöver, där andra begränsar tillgången till vissa dokument bakom ett erbjudande som bara stora bolag har råd med."

Jacob Hjalmarsson

COO, Arboair

Docue är nu ISO 27001-certifierat – dina uppgifter är i trygga händer

Den 28 april 2025 tilldelades Docue en ISO 27001-certifiering efter en omfattande granskning av vår informationssäkerhet. Certifieringen, som utfärdats av ett oberoende expertorgan, bekräftar att vårt säkerhetsarbete uppfyller de högsta internationella standarderna.

Docue Technologies Sweden

2.6.2025

Inför sommaren: så fungerar säsongsanställningar för arbetsgivare

Nu när sommaren närmar sig ökar efterfrågan på arbetskraft inom flera branscher. Turism, handel, jordbruk, livsmedel och trädgårdsnäring är bara några exempel på områden där det blir rusning efter säsongsarbetare. För många arbetsgivare dyker då samma fråga upp: Vad innebär en säsongsanställning, och hur ingås den på rätt sätt?

Arian Sadeghi | Jurist

15.5.2025

Distansarbete har kommit för att stanna – men hänger juridiken med?

Många arbetsplatser har förändrats i grunden de senaste åren. Möten sker över video, köksbord har blivit skrivbord och kontorets väggar har bytts ut mot hem, stugor eller till och med andra länder. Flexibiliteten är något som uppskattas, men den ställer även krav på både arbetsgivare och arbetstagare. Så hur ser regelverket egentligen ut när kontoret blir digitalt? Vilket ansvar har arbetsgivaren? Och vad måste egentligen stå i ett avtal om distansarbete? Här reder vi ut vad som gäller – och vad du behöver tänka på innan nästa distanslösning blir verklighet.

Arian Sadeghi | Jurist

10.4.2025